为什么需要制作镜像文件
【主题讨论】
当然不可以。引问电子数据有脆弱性,很容易被修改,导致证据不再具有有效性或者出现瑕疵影响证据效力。
做证据分析需要在副本上进行,所以需要获取证据盘里的数据。
数据获取分为:
物理获取:对完整的物理磁盘设备进行获取
逻辑获取:对某个逻辑驱动器数据进行获取
易失数据获取:对内存数据进行获取
在取证过程中,必须保证副本与原始数据完全一致,具有原始性,制作镜像文件是最好的选择。镜像文件可以保证检材的真实性、唯一性,防止数据被篡改。当然,制作镜像文件时需要加只读锁。
镜像是什么
镜像是指将原始数据逐比特位进行复制,从而产生与原始数据完全一致的数据。
镜像=副本=文件=数据=证据
对比镜像克隆复制拷贝copy:
镜像的对象是磁盘,结果是镜像文件。
克隆的对象是磁盘,结果是磁盘/文件
复制的对象是磁盘或文件,结果会丢失掉部分信息,比如元数据,还可能改变一些信息,比如创建时间创建人等。
镜像文件的格式
开源的镜像格式有:raw(dd),001,img,AFF
专有的镜像格式有:e01,ex01,smart s01,FinalForensics,XWays ForensicsCTR,apple的DMG
虚拟磁盘:VMDK、VHD、VHDX、VDI
1. dd格式
DD格式(Disk Dump)是最常用的镜像格式。
优点:
兼容性好:目前所有镜像和分析工具都支持;
支持续传:可以断点继续;
效率高:没有压缩,镜像速度较快。
缺点:
占用空间大:需要与原始证据磁盘一样的磁盘容量;
元数据需要单独保存。
、Ex01格式(EnCase文件格式)→商业工具代表
优点:
支持数据压缩,节省存储空间;
支持文件分卷或分段;
内部保存相关的元数据信息。
缺点:
不同取证工具可能无法打开;
一旦中断,已获取分段数据无法再使用。
镜像工具
制作镜像通常采用特定的取证设备或软件,将原始介质中的全部数据进行位对位复制,并生成相应的证据文件。
镜像软件的功能有镜像制作、镜像挂载、镜像仿真。其中镜像制作是最基本的功能之一,由于需要制作镜像的场合比较多,因此使用复杂的介质取证软件显得不便利,因此主流的介质取证软件厂商都将镜像软件独立出来,可以宣传其主要的介质取证软件的作用。
免费软件:Encase Imager,FTK Imager,Paladin,Belkasoft BAT,Myhex,流火镜像大师……
硬件:硬盘拷贝机/只读锁+软件,Tableau Imager等。
分功能来看:
表格1镜像软件列表
| 免费镜像工具
| 美国FTK imager,美国Encase Imager/Tableau Imager,美国Paladin 俄罗斯Belkasoft Acquisition Tool 美国Autopsy 中国流火镜像大师 Myhex 加拿大Magnet Acquire |
| 商业镜像工具 | 德国Xways Imager 美国 MacQuisition 美国Smart Linux |
| 免费挂载工具 | 美国Arsenal Imager Mounter 美国FTK Imager |
| 商业挂载工具 | 澳大利亚Mount Image Pro 美国Arsenal Imager Mounter专业版中国流火挂载 |
如何用FTK制作镜像
FTK支持几十种镜像格式:E01、DD、L01、DMG、VMDK、VHD等
可以后去物理磁盘、逻辑磁盘、内存、受保护文件(可以直接获取当前系统的注册表文件)
完全免费、绿色,安装后复制安装目录到任意地方可以直接运行。
用FTK制作镜像的步骤:
1. 下载、安装,运行FTK Imager。
2. 菜单中选择“创建镜像文件”。
3. 选择证据类型,如物理磁盘、逻辑磁盘、已有镜像文件。
4. 选择镜像格式dd或e01等、保存路径、是否压缩、是否分片。
5. 填写证据信息并开始镜像。
6. 查看镜像结果。
